独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月7日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NeroTeam Security LabsのThomas J. Knudsen 氏、Samy Younsi 氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2023-26588、CVE-2023-24544
BS-GSL2024 ファームウェア Ver. 1.10-0.03 およびそれ以前
BS-GSL2016P ファームウェア Ver. 1.10-0.03 およびそれ以前
BS-GSL2016 ファームウェア Ver. 1.10-0.03 およびそれ以前
BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前
・CVE-2023-24464
BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前
株式会社バッファローが提供する複数のネットワーク機器には、次のような影響を受ける脆弱性が存在する。
・ハードコードされた認証情報の使用(CVE-2023-26588)
→当該製品のデバッグ機能にアクセスされる
・不適切なアクセス制御(CVE-2023-24544)
→当該製品の特定ファイルを窃取され、結果として製品の設定を不正に変更される
・格納型クロスサイトスクリプティング(CVE-2023-24464)
→Web管理画面にアクセス可能な攻撃者によって、正規ユーザのウェブブラウザ上で任意のJavaScriptを実行される
JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。
![未知の脅威グループ Hydrochasma(ハイドロカズマ)/医療分野はひきつづき標的に/3月全人代開催 ほか [Scan PREMIUM Monthly Executive Summary 2023年2月度] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/40849.jpg)
